Die Digital Operational Resilience Act (DORA)-Verordnung (EU) 2022/2554 – Teil 1

11. März 2026 - Minuten Lesezeit

2025 markiert im Finanzwesen einen Paradigmenwechsel: ‚Digitale Resilienz‘ ist durch die DORA-Verordnung (Digital Operational Resilience Act) zum universellen Standard avanciert. Betroffene Unternehmen sind nun gefordert, IT-Sicherheit nicht mehr nur operativ zu verwalten, sondern als essenziellen Bestandteil ihrer Unternehmensstrategie zu verankern.

 Das Ziel ist klar definiert: Ein Finanzsystem muss so robust sein, dass selbst massive Cyberangriffe auf Institute oder kritische Cloud-Provider nicht zur Systemkrise führen.

Dieser Blogeintrag ordnet die komplexe DORA-Regulatorik für Sie ein. Wir klären den genauen Anwendungsbereich, analysieren den Paradigmenwechsel in der Sicherheitsstrategie und stellen die fünf essenziellen Säulen vor, auf denen Ihre Compliance-Architektur aufbauen muss.

Inhalt
Der Geltungsbereich der DORA-Verordnung
Warum DORA unverzichtbar ist: Schließung regulatorischer Lücken
Die 5 Säulen: Ihr Fahrplan zur DORA-Compliance
Säule 1: Das ICT-Risikomanagement
Säule 2: Management, Klassifizierung und Meldung von ICT-bezogenen Vorfällen
Säule 3: Tests der digitalen operationellen Resilienz
Säule 4: Management des ICT-Drittparteienrisikos
Säule 5: Informationsaustausch
Fazit 

Der Geltungsbereich der DORA-Verordnung

DORA macht keine halben Sachen. Die Verordnung umfasst nahezu alle Akteure des Finanzökosystems. Wenn Sie mit Geld, Wertpapieren oder den Daten dahinter arbeiten, sind Sie höchstwahrscheinlich dabei:

  • Klassische Finanzinstitute: Banken, Versicherungen, Wertpapierfirmen
  • Zahlungsverkehr: E-Geld- und Zahlungsinstitute
  • Infrastrukturbetreiber: Zentralverwahrer und Börsenplätze
  • ICT-Drittdienstleister: Cloud-Anbieter oder Rechenzentren, die Dienstleistungen für den Finanzsektor erbringen

Information and Communication Technology (ICT) ist das Nervensystem Ihres Unternehmens. Es umfasst alles, womit Sie Daten speichern, senden oder bearbeiten. Der Geltungsbereich ihres Informationssicherheitsmanagementsystems (ISMS) muss alle geschäftskritischen Assets abdecken. Dazu zählen insbesondere:

  • Standort(e)
  • Organisationseinheiten
  • Geschäftsprozesse (z. B. Zahlungsverkehr)
  • IT-Systeme, wie Hardware, Schnittstellen und Anwendungen
  • ICT-Drittdienstleister (z.B. Cloud-Services)

Warum DORA unverzichtbar ist: Schließung regulatorischer Lücken

DORA adressiert Defizite bisheriger Standards (wie ISO 27001) angesichts einer zunehmend aggressiven Cyber-Bedrohungslage. Vier Faktoren sind dabei ausschlaggebend:

  1. 1
    Abhängigkeit: Ohne ICT steht der Finanzsektor still. Resiliente IT-Systeme sichern den Geschäftsbetrieb.
  2. 2
    Kettenreaktionen vermeiden: Durch die Vernetzung können einzelne Sicherheitsvorfälle Kettenreaktionen auslösen. DORA zielt darauf ab, diese Kettenreaktionen zu unterbinden, um Marktstabilität und Vertrauen zu sichern.
  3. 3
    EU-weite Standardisierung: DORA schafft den Flickenteppich aus nationalen Regeln ab. Es gelten nun europaweit einheitliche Vorgaben für alle Marktteilnehmer.
  4. 4
    Ganzheitliche Aufsicht: IT-Sicherheit ist nun so wichtig wie die Kapitalausstattung und wird als aufsichtsrechtliche Kernanforderung behandelt.

Sie brauchen Unterstützung beim Thema Informationssicherheit?

Sprechen Sie uns gerne direkt an und vereinbaren Sie ein kostenfreies Beratungsgespräch mit einem unserer Experten für Informationssicherheit.

Jetzt Kontakt aufnehmen
Professionelles Beratungsteam der exkulpa GmbH analysiert gemeinsam Compliance-Dokumente zur Optimierung der Geldwäscheprävention in modernem Büroumfeld

Die 5 Säulen: Ihr Fahrplan zur DORA-Compliance

DORA besteht aus neun Kapiteln. Bei der Umsetzung richten wir unser Augenmerk auf die fünf strategischen Säulen –sie bilden die Grundlage Ihrer digitalen Resilienz.

Säule 1: Das ICT-Risikomanagement

Die vollumfängliche Verantwortung liegt beim Leitungsorgan. Die Führungsebene muss die Strategie für die digitale Resilienz aktiv lenken, Informationssicherheitszielen setzen und Risikotoleranzen festlegen. Die Kernaufgaben im Risikomanagement:

Die Kernaufgaben des Risikomanagements:

  • Governance und Organisation: Rollen und Verantwortlichkeiten für ICT-bezogene Funktionen festlegen. Das Leitungsorgan muss sich mit ICT-Risiken beschäftigen, die digitale operationale Resilienzstrategie genehmigen und deren Umsetzung überwachen.
  • Identifikation: Laufende Bestimmung und Einordnung sämtlicher durch ICT unterstützter Geschäftsprozesse sowie Informations- und ICT-Assets.
  • Schutz und Prävention: Schützen Sie Ihre Daten durch ICT-Richtlinien und -Tools. Ziel ist es, Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität zu garantieren. Dies umfasst Zugriffskontrollen, Verschlüsselung, Backups und Patch-Management.
  • Erkennung: Verfahren zur frühzeitigen Erkennung von abweichenden Aktivitäten und ICT-bezogenen Vorfällen, was die Bestimmung von Alarmschwellen und automatisierten Warnverfahren umfasst.
  • Reaktion und Wiederherstellung: Ausarbeitung der ICT-Geschäftsfortführungsrichtlinien sowie ICT-Reaktions- und Wiederherstellungspläne (Schadensbegrenzung, Wiederaufnahme von Aktivitäten und Krisenkommunikation). Tests dieser Pläne müssen regelmäßig durchgeführt werden.
  • Backup und Wiederherstellung: Einführung von Verfahren zur Datensicherung sowie von Wiederherstellungsmethoden, um Datenverlust und Ausfallzeiten zu verringern.

Säule 2: Management, Klassifizierung und Meldung von ICT-bezogenen Vorfällen

Wenn es trotz aller Vorsorge zu einem Vorfall kommt, ist schnelles Handeln gefragt. 

Vorfälle müssen nach strengen Kriterien (Betroffene Kunden, Dauer, Datenverlust) klassifiziert werden. 

Die Kernvorgaben:

  • Meldepflicht: Einführung eines mehrstufigen Meldeprozesses schwerwiegender ICT-bezogener Vorfälle. Dazu gehören Erst-, Zwischen- und Abschlussberichte an die BaFin.
  • Kundeninformation: Bei Vorfällen, die ihre finanziellen Interessen betreffen, sind die Kunden unverzüglich zu informieren. Zudem sollen bei erheblichen Cyberbedrohungen Schutzmaßnahmen empfohlen werden.

Säule 3: Tests der digitalen operationellen Resilienz

Alle drei Jahre sind TLPTs (Threat-Led Penetration Tests) vorgeschrieben.  Die Testergebnisse sind zu dokumentieren und den zuständigen Behörden zukommen zu lassen.

  • Regelmäßige Tests: Jährlich müssen auf sämtlichen kritischen ICT-Systemen Tests durchgeführt werden.
  • TLPT: Finanzunternehmen, die die Kriterien erfüllen, sind verpflichtet, alle drei Jahre bedrohungsorientierte Penetrationstests (TLPT) von unabhängigen internen oder externen Testern durchführen zu lassen.

Säule 4: Management des ICT-Drittparteienrisikos

In einer vernetzten Welt ist kaum ein Finanzinstitut eine Insel. Cloud-Anbieter und Rechenzentren sind fester Bestandteil der Infrastruktur. DORA nimmt diese Drittanbieter direkt ins Visier.

Wichtig für Sie: Auch wenn Sie Dienste auslagern, bleiben Sie als Leitungsorgan voll verantwortlich!

  • Risikostrategie: Einführung einer speziellen ICT-Drittparteienrisikostrategie, die regelmäßig überprüft wird.
  • Informationsregister: Das Führen eines detaillierten Registers aller vertraglichen Vereinbarungen mit ICT-Drittdienstleistern, das auf Anfrage der Aufsichtsbehörden bereitgestellt werden muss.
  • Due Diligence: Vor Vertragsabschluss ist eine Analyse der Risiken des Anbieters und die Bewertung potenzieller Interessenkonflikte erforderlich.
  • Vertragsgestaltung: Gewährleistung, dass Verträge mit ICT-Drittdienstleistern alle wichtigen Bestimmungen umfassen, wie detaillierte Service Level Agreements, Unterstützung bei Vorfällen, Auditrechte und Ausstiegsstrategien.
  • Drittland-Dienstleister: Als kritische eingestufte ICT-Drittdienstleister aus Drittländern müssen innerhalb eines Jahres eine Tochtergesellschaft in der EU gründen.

Säule 5: Informationsaustausch

Informationssicherheit bedeutet mehr als nur Geheimhaltung. Wer Wissen über Angriffe teilt, stärkt die gesamte Branche.

  • Vertrauensgemeinschaften: Etablierung und Mitwirkung an Abkommen zum Austausch von Informationen in vertrauenswürdigen Finanzgemeinschaften mit dem Ziel, Cyber-Bedrohungsdaten und -Erkenntnisse weiterzugeben.
  • Regelwerke: Gewährleistung, dass diese Abmachungen den Datenschutzbestimmungen und dem Geschäftsgeheimnisschutz Rechnung tragen.
  • Behörden informieren: Melden Sie der BaFin Ihre Teilnahme an solchen Austausch-Vereinbarungen.

Fazit 

Wo stehen wir, was muss getan werden?

Zunächst einmal: Wenn man bereits eine ISO-27001-Zertifizierung besitzt oder die BAIT/VAIT-Anforderungen der BaFin sorgfältig befolgt, hat man einen erheblichen Vorteil. DORA bringt zwar keine Neuerung, aber eine deutliche Stabilisierung und Verbindlichkeit.

Mein Ratschlag als Berater für Informationssicherheit: Betrachten Sie DORA nicht als lästige Checkliste. In unserer Welt sind Cyberangriffe keine Frage des „Ob“, sondern des „Wann“. In dieser Welt ist digitale Resilienz ein Wettbewerbsvorteil. Im Finanzsektor ist Vertrauen die wertvollste Währung und DORA unterstützt Sie dabei, dieses Vertrauen zu bewahren. Was geschieht, wenn man es einfach laufen lässt? Die Aufsichtsbehörden (BaFin, EZB) beobachten dies sehr genau. Bei Regelwidrigkeiten drohen nicht nur hohe Geldbußen, sondern auch tägliche Zwangsgelder für Dienstleister und ein erheblicher Reputationsschaden.

Markus Sobotta

Berater

Mehr zu Herr Sobotta

Markus Sobotta-exkulpa gmbh-2025

More...

Weitere blogartikel

Wohnungssuche & Datenschutz: Was Vermieter 2026 wissen müssen

BYOD Datenschutz: Tipps für eine sichere Nutzung im Unternehmen

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

Jetzt AnfrageN
>